Monobank уперше за шість років провів баг-баунті та видав винагороди за знайдені вразливості
- Автор:
- Олександра Амру
- Дата:
Unsplash / Jefferson Santos
Найбільший український цифровий банк monobank з 17 листопада до 1 грудня вперше за шість років провів баг-баунті — спеціальну програму з пошуку вразливостей та дефектів у системі за залученням «білих» (етичних) хакерів.
Про результати хакатону розповів виданню Forbes директор з інформаційних технологій IT-компанії Fintech Band Максим Пугач.
Загалом на участь у програмі з пошуку вразливостей (баг-баунті) у додатку monobank подали заявки близько тисячі учасників. На наступний етап перейшли 275 людей — вони уклали договір про нерозголошення з компанією. Підписання відбувалося через застосунок «Дія», зокрема для того, щоб відсіяти громадян країни-агресора.
Активно брали участь у баг-баунті 23 хакери, які подали 46 звітів. Вразливостей критичного рівня (Р1) учасники не виявили. Щодо вразливостей високого рівня (Р2) — учасники програми подали два звіти. Також хакери знайшли одну вразливість рівня (Р3) та шість підтверджених вразливостей найнижчого рівня — (Р4).
Найбільша винагорода, яку monobank виплатить за результатами баг-баунті — $750 за знайдену вразливість другого рівня. За знайдені вразливості третього рівня (Р3) хакери отримають по $500, а винагорода за знайдені вразливості четвертого рівня (Р4) — $250.
Також усі учасники отримають додатково по $100 за участь у баг-баунті — загалом mono виплатить хакерам $6 800.
Наступне баг-баунті в monobank планують провести через рік або два. «Вибір періодичності залежить від обсягу нових функцій у додатку», — зазначив Максим Пугач.